多出口如何建立IPSec VPN？两种配置方式实现高可用性( 二 ) _IPSec

文章插图
IKE SA建立状态
附：外地办事处路由器IPSec VPN高可用的相关配置：
crypto isakmp keepalive 10 periodic
crypto map fenzhi 1 ipsec-isakmp
set peer 202.111.34.2 default
set peer 60.111.34.2
set transform-set 20
match address 100
由配置能发现分支与总部两台VPN设备都建立了关联
知识扩展：set peer 202.111.34.2 default为什么后面加了一个 default？
增加default的作用在于如果此设备与多台VPN设备建立了联系，在没有设置default的情况下，是基于设置peer的顺序来选择使用哪一个peer建立的SA进行传输的，一旦第一个peer的SA失效则选择第二的SA进行加解密传输，第二个SA失效则选择第三个SA进行加解密传输，以此类推。
设置上default与未设置default的区别在于，default SA失效以及第二个SA失效后、会再次探测并尝试使用default进行加解密传输，如果default还是处于失效状态，这时才会选择第三个SA进行加解密传输，以此类推。

文章插图
default set peer的作用
2、解决核心交换机路由指向问题然而，仅适用DPD技术只能保证VPN隧道的建立，无法解决下图所描述问题：

文章插图
新问题图示
由于公司总部有多个出口VPN设备，所以核心交换机的默认网关一定是指向主用VPN隧道的VPN出口设备，一旦主用VPN链路断掉，DPD删除主用VPN隧道SA，重新建立备用VPN隧道后，数据报文虽然能够通过备用VPN隧道发送至总部服务器，但总部服务器将响应报文发送给核心交换机后，核心交换机根据自己的默认路由将加密报文发送给了主用VPN设备，由于主用VPN设备上的SA已经被DPD删除，所以加密数据报文无法发出，如何告知核心交换机将默认网关指向备用VPN设备将是一大问题。
这时我们将使用OSPF与RRI技术的组合或等价路由与SLA技术的组合来进行解决。
2.1、使用OSPF+RRI技术RRI的作用在于应用在IPSec VPN的map中，一旦此map建立SA，则生成一条静态路由，该静态路由是目标地址为对端通信点，下一条为对端加密点的静态路由。
然后使用OSPF的重分布静态路由功能，将RRI产生的静态路由告知三层交换机。
正常数据传输：

文章插图
OSPF+RRI技术图示
主用VPN隧道SA因加密点不可达被DPD清除：

文章插图
OSPF+RRI技术解决方案图示
相关配置：
总部联通路由器：
1、在IPSec VPN的map中启用RRI并打上tag
crypto map zongbu-lt 1 ipsec-isakmp
set peer 202.102.134.2
set transform-set 11
set reverse-route tag 10 为产生的静态路由打上tag10，便于后面再route-map调用
match address 100
reverse-route 启用RRI

2、创建名为static的route-map并匹配tag 10，建立route-map的作用是为了在ospf中引入此静态路由。
route-map static permit 10
match tag 10
【多出口如何建立IPSec VPN？两种配置方式实现高可用性】
3、在OSPF中重分布名为static的route-map中的静态路由。
router ospf 1
redistribute static subnets route-map static
network 10.1.1.0 0.0.0.255 area 0

总部电信路由器：
电信路由器与联通路由器配置基本相同。
1、在IPSec VPN的map中启用RRI并打上tag
crypto map zongbu-dx 1 ipsec-isakmp
set peer 202.102.134.2
set transform-set 12
set reverse-route tag 20 为产生的静态路由打上tag20，便于后面再route-map调用
match address 100
reverse-route 启用RRI

2、创建名为static的route-map并匹配tag 20，建立route-map的作用是为了在ospf中引入此静态路由。
route-map static permit 20
set tag 20

3、在OSPF中重分布名为static的route-map中的静态路由。
router ospf 1
redistribute static subnets route-map static
network 10.1.1.0 0.0.0.255 area 0

总部核心交换机：
核心交换机只需要加入OSPF域中等待静态路由的引入即可。
router ospf 1
network 10.1.1.0 0.0.0.255 area 0

2.2使用等价路由+SLA技术正常数据传输：